Android, Sécurité

bitwarden : gestionnaire de mots de passe open source à découvrir

bitwarden

Après l’actualité autour de Lastpass et son hausse tarifaire, pas mal de personnes cherchent des alternatives. Actuellement, je conseillerais KeePass (X/XC) ou bitwarden. Pour plusieurs raisons, j’utilise bitwarden depuis plusieurs mois et il a connu de belles avancées. Voici donc une rapide présentation pour ceux que ça intéresse 🙂

Rappel de sécurité

Les mots de passe sont utilisés de partout, il est donc indispensable d’en utiliser des complexes, aléatoires, variés et sûrs. bitwarden est une solution open source multi-plateforme pour générer, stocker et utiliser tous vos mots de passe. Il est seulement nécessaire de se souvenir d’un seul mot de passe, le mot de passe maître, qui doit être long (16+ caractères) et complexe.

Synchronisation

Le cloud sécurisé utilisé par bitwarden (Azure de Microsoft) s’occupe de la synchronisation des fonctionnalités pour tous vos appareils. Le coffre-fort est utilisé pour fonctionner depuis un ordinateur, un portable, une tablette ou un smartphone.
Toutes les données sont entièrement chiffrées avant de quitter votre appareil, seulement vous avez accès. Vos données sont scellées par un chiffrement AES-256 bit, un salage et hachage ainsi que par un PBKDF2 SHA-256.
Si la question de la sécurité vous intéresse, consultez cette FAQ.

Facilité d’accès / Multi-plateforme

On peut accéder à bitwarden depuis un ordinateur Windows, macOS ou GNU/Linux via des extensions de navigateur web : Chrome, Firefox, Opera, Edge (prochainement), Vivaldi, Brave (prochainement) et Tor.
Côté mobile, on a le choix entre le store Amazon, le Google Play Store, et l’Apple Store.
Une version web responsive design est aussi disponible à l’adresse vault.bitwarden.com.

Open source sinon rien

Un outil de sécurité comme un gestionnaire de mots de passe doit au minimum être open source. Le code source de bitwarden est hébergé sur Github alors n’importe qui peut le consulter, l’auditer et contribuer.
C’est grâce à son ouverture que bitwarden m’a fait de l’oeil. Contrairement à Dashlane, Lastpass, 1password,… On sait ce que l’outil fait.

Le Business model

bitwarden est destiné aux particuliers mais aussi aux organisations et entreprises. Ils existent des versions gratuites pour l’essentiel des fonctionnalités ainsi que des offres Premium depuis quelques jours.
Toutes les informations sont disponibles sur le site web bien sûr.

La version gratuite permet déjà de faire pas mal de choses :
• L’utilisation des applications bitwarden
• La synchronisation sur tous vos appareils, aucune limite
• Stockage illimité d’identifiants
• Générateur de mots de passe
• Auto-complétion
• etc.

Pour 10$ / an (24$ pour Lastpass au passage), on a en plus :
• 1Go de stockage de fichiers chiffrés
• Authentification double facteurs via YubiKey, FIDO U2F et Duo
• Stockage de clés TOTP et générateur de code (Code de double authentification temporaire basé sur le temps)
• Priorité service clients

En ce qui concerne les organisations, on est sur d’autres tarifs, d’autres fonctionnalités. On peut s’essayer à bitwarden au travers d’une période d’essai.

Ma conclusion

J’ai échangé à plusieurs reprises avec le développeur de bitwarden. Je dirais qu’il est à l’écoute et réactif. Tout n’est pas parfait mais la perfection n’existe pas en sécurité. 🙂
Si quelque chose ne va pas ou si vous souhaiteriez une nouvelle fonctionnalité, n’hésitez pas à ouvrir un ticket dans Github ou à envoyer un e-mail. Plusieurs problèmes et fonctionnalités intéressantes ont vu le jour grâce à ce système. C’est l’un des grands intérêts d’avoir un projet open source.
Je déplore cependant que le développeur n’ait pas en sa possession d’appareil Android. Espérons qu’il en achète un prochainement afin de peaufiner les détails.

Publicités

6 thoughts on “bitwarden : gestionnaire de mots de passe open source à découvrir”

  1. J’avoue que ça me tente bien, car c’est chiant keepass d’être local, enfin c’est surtout la synchro qui est à chier. C’est ce que j’utilise actuellement, passifox pour firefox (quand ça marche) et le connecté à un keepass XC local, avec un point de montage vers mon nextcloud, et synchronisé en local sur ma machine. Puis sur android un autre keepass, + le client nextcloud pour la synchro. Et encore avec ça j’ai des problèmes des fois. C’est le gros bordel, car de base, c’est pas fait pour de la synchro.

    J’ai tester passman, qui est auto-hébergé (sous nextcloud), et qui est franchement pas mal, mais encore très jeune, mais complet (android, browser et web).

    Bitwarden à l’air prometteur, même si le choix du langage est discutable (malgré que ce sois un choix judicieux pour du cross-platform, un seul langage pour tout). J’attends encore un peu pour voir ce que cela va donner.

    J'aime

  2. « The core infrastructure is written in C# using .NET with ASP.NET Core. The database is SQL Server. »

    C’est vrai qu’un service web à base d’ASP.NET et de SQL Server ça vends du rêve… En plus d’être top « open source ». 👏

    Aimé par 1 personne

    1. Y’a pas de raison. Il existe une option pour exporter ses données donc si un jour (le plus tard possible j’espère), le développeur arrête le projet pour X raisons, on pourra toujours récupérer ses données et les importer dans un nouveau gestionnaire de mots de passe.
      De plus, il n’est pas impossible que d’autres personnes rejoignent le projet surtout s’il prend encore plus d’ampleur.
      bitwarden peut également être racheté (le pire des scénarios selon moi).

      PS : j’en profite pour dire que bitwarden pourra être auto-hébergé (no ETA) et que le développeur a désormais un Nexus 5X en sa possession 🙂

      J'aime

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s